Software::Distributionen::BSD::OpenBSD
Redundante Firewalls mit OpenBSDs pfsync und CARP
Der OpenBSD-Entwickler Ryan McBride beschreibt in seinem Artikel »Firewall Failover with pfsync and CARP« die neuen Firewall-Features im kommenden OpenBSD 3.5. CARP (Common Address Redundancy Protocol) ist eine patentfreie Alternative zu Ciscos VRRP.
Es regelt die Wahl von Knoten in Firewall-Clustern, während pfsync die Zustandsinformationen von gefilterten Verbindungen zwischen den Knoten synchronisiert.
Damit können Firewalls, die einen »Single Point of Failure« enthalten und damit nicht hochverfügbar sind, durch redundante Cluster ersetzt werden, die bei Ausfall einzelner Knoten bestehende und neue Verbindungen unterbrechungsfrei filtern. Der Cluster kann im Prinzip beliebig viele Firewalls enthalten. Getestet wurde bereits mit vier Firewall-Rechnern. Weitere Funktionen wie »arpbalance« erlauben, eine IP-Adresse (und damit die Last) auf mehrere Server zu verteilen.
Der Artikel beschreibt die Konfiguration eines solchen Clusters im Detail und zeigt konkrete Beispiele.
OpenBSD 3.5 soll am 1. Mai offiziell erscheinen. CDs, aus deren Erlös sich das Projekt teilweise finanziert, können bereits jetzt vorbestellt werden.
